如果您正在处理Spring Security（特别是OAuth）实现，一定要查看《学习Spring安全》课程。

1. 概述

在本教程中，我们将探讨在Spring应用程序中使用模拟身份测试OAuth2安全下的访问控制规则的选项。

我们将使用_MockMvc_请求后处理器、_WebTestClient_变异器以及来自_spring-security-test_和_spring-addons_的测试注解。

2. 为什么使用Spring-Addons？

在OAuth2领域，_spring-security-test_仅提供了需要分别在_MockMvc_或_WebTestClient_请求上下文中的请求后处理器和变异器。这对于_Controller_来说可能很好，但测试具有@Service或@Repository等方法安全性（@PreAuthorize、@PostFilter等）是一个问题。

在本文中，我们将探讨不同的访问控制模型以及如何在实践中实现它们。

2. 什么是访问控制模型？

应用程序，特别是基于Web的应用程序，通常需要满足一个共同的要求，即只有在满足一组特定条件（也称为策略）时，才能执行某些操作。这是一个非常通用的要求，让我们给出一些例子：

• 互联网论坛：只有会员才能发布新消息或回复现有消息
• 电子商务网站：普通用户只能查看自己的订单
• 银行后台办公室：账户经理可以管理自己客户的投资组合。此外，当他们暂时不可用（例如，休假）时，账户经理还可以管理另一位账户经理客户的投资组合，并且前者充当其同行
• 数字钱包：在用户所在时区的20:00至08:00期间，支付限额为500美元